AnthropicがAIブラウザー機能を限定公開　「危険すぎる」脆弱性とは

　ブラウザーが表示ツールから「タスク実行のプラットフォーム」へと進化している。ユーザーの指示で検索や要約を自律的に行うエージェント内蔵「AIブラウザー」だが、新たなリスクが注目を集めている。Anthropicは新機能「Claude for Chrome」の内部テストで危険な脆弱性を発見し、公開まで慎重に改良を進める姿勢をとっている。専門家から「トラックでも通れるほどのセキュリティホール」と警告されたものだ。

「一般公開するには危険すぎる」

　Anthropicは8月26日、「Claude for Chrome」を発表した。AIがユーザーの代わりにブラウザー内で操作を行い、カレンダー管理やメール返信、Webサイトの操作テストなどを行う機能だ。昨年10月に公開された画面操作エージェント「Computer Use」をベースに、より深くブラウザーと統合されたChromeの拡張機能に仕上げた。

　だが、その発表にあたって、Anthropicは異例とも言える慎重な進め方をとった。まず、Maxプラン（月額100～200ドル）の信頼できるユーザー1000人限定でパイロットテストを行い、追加として待ちリストへの登録を受け付けている。「一般公開するには危険すぎるセキュリティリスク」が判明したためだという。

　Anthropicによると、Claude for Chromeには「プロンプト注入（Prompt Injection）」攻撃に対する脆弱性があり、内部テストでは123のテストケースで、悪意ある標的攻撃の23.6％が成功してしまったという。例えば、「セキュリティ上の理由でのメール削除の要求」に対して、Claude for Chromeはユーザーへの確認なしに実行した。

　同社はこの脆弱性に対して、システムプロンプトの改善、高リスクのWebサイトの使用ブロック、不審な指示の検出などを追加し、攻撃成功率を11.2％にまで抑えることができたと説明している。

　しかし、専門家はそれでは解決にはほど遠いと指摘する。開発者で、2022年に「プロンプト注入」という用語を考案したSimon Willison氏は、この脆弱性を「トラックでも通れるほどのセキュリティホール」と呼んだ。

　その上で「11.2％は依然として壊滅的な率だ。100％の保護がない状況で、このようなパターンを解放するのは、賢明とは言い難い」と自身のブログで述べている。